In onze 12e editie van oktober 2023 schreven we al over de do’s en dont’s op het vlak van GDPR bij de aanwerving van werknemers. Deze keer richten we onze aandacht op de beëindiging van de arbeidsovereenkomst en geven we een handig overzicht van alle GDPR-verplichtingen die daarbij komen kijken voor de werkgever.
! De GDPR is van toepassing op gegevens van alle natuurlijke personen. De onderstaande GDPR-verplichtingen gelden bijgevolg ook bij de beëindiging van de samenwerking met een zelfstandige dienstverlener !
De GDPR is van toepassing op alle verwerkingen van persoonsgegevens die u doet als werkgever.
Persoonsgegevens dienen daarbij verstaan te worden als alle gegevens die teruggebracht kunnen worden naar een geïdentificeerde of identificeerbare natuurlijke persoon. Zoals bv. naam, adres en e-mailadres. Een verwerking is elke bewerking met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken.
Aldus volstaat het bijhouden van gegevens van een ex-werknemer om te spreken van een verwerking van persoonsgegevens en onderworpen te zijn aan de GDPR-verplichtingen. Louter mondelinge communicatie valt in principe buiten het toepassingsgebied van de GDPR.
Een van de basisregels van de GDPR is dat een verwerking van persoonsgegevens maar toegelaten is op voorwaarde dat daartoe een specifieke rechtsgrond bestaat. Aangezien de uitvoering van de arbeidsovereenkomst erkend wordt als rechtsgrond, levert dit zelden problemen op tijdens de duur van de arbeidsovereenkomst. Bij de beëindiging vervalt deze rechtsgrond. De werkgever kan dus maar de persoonsgegevens van de ex-werknemer verwerken op voorwaarde dat daartoe een andere rechtsgrond bestaat, zoals bv. een wettelijke verplichting, de gerechtvaardigde belangen van de onderneming of het akkoord van de werknemer.
1) Een GDPR-conforme ontslagcommunicatie:
De schriftelijke aankondiging van de beëindiging van de arbeidsovereenkomst is een verwerking van persoonsgegevens en moet dus voldoen aan de GDPR-verplichtingen.
Een ontslagaankondiging die vooraf expliciet is goedgekeurd door de werknemer, is GDPR conform en is niet onderworpen aan de onderstaande inhoudelijke beperkingen.
Ook wanneer er geen specifiek akkoord is, behoudt de werkgever het recht om aan te kondigen dat een werknemer niet langer in dienst is. Hierbij gelden evenwel enkele inhoudelijke beperkingen:
Wel toegelaten | Niet toegelaten |
• Naam en functie van de werknemer die de onderneming verlaat • Datum einde arbeidsovereenkomst | • Wie het initiatief nam om de arbeidsovereenkomst te beëindigen • De beëindigingsmodaliteiten van de arbeidsovereenkomst (ontslag wegens dringende reden, opzeggingstermijn vs. opzeggingsvergoeding, eerdere waarschuwingen, medische overmacht, …) • Of het een ontslag is met onmiddellijke ingang |
! Louter mondelinge communicatie valt niet binnen het toepassingsgebied van de GDPR. De bovenstaande beperkingen gelden dus niet wanneer de werkgever enkel mondeling over het ontslag communiceert. Uiteraard blijven de algemene principes van eerbied en achting wel steeds gelden. Daardoor zal u als werkgever ook mondeling niet kunnen communiceren dat het bijvoorbeeld om een ontslag wegens dringende reden gaat en waaruit deze dringende reden bestaat !
In sommige gevallen wordt het professioneel e-mailadres van de werknemer beschouwd als een persoonsgegeven en gelden de GDPR-verplichtingen:
Geldt als persoonsgegeven: | Geldt niet als persoonsgegeven: |
ü Wanneer de werknemer direct identificeerbaar is aan de hand van het professioneel e-mailadres omdat het zijn voor-en of familienaam bevat. ü Wanneer de werknemer indirect identificeerbaar is aan de hand van het e-mailadres. Dit is het geval wanneer het e-mailadres niet de naam draagt van de werknemer, maar het wel steeds gebruikt wordt door een en dezelfde werknemer die mails ondertekent in zijn eigen naam. | û Professionele e-mailadressen die niet de naam dragen van de werknemer en die gebruikt worden door meerdere werknemers waardoor geen enkele werknemer individueel traceerbaar is. |
Als het professioneel e-mailadres een persoonsgegeven uitmaakt, vervalt bij het einde van de arbeidsrelatie de rechtsgrond voor de werkgever om dit persoonsgegeven te verwerken. De werkgever zal het professioneel e-mailaccount dan moeten verwijderen. De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit voorziet hiervoor de volgende richtlijnen:
Niet alleen het professioneel e-mailadres, maar ook de inhoud van de mailbox is aan de GDPR-verplichtingen onderworpen. Soms hebben de ex-werknemer of de werkgever na het einde van de arbeidsovereenkomst toegang nodig tot informatie die zich nog bevindt in de professionele mailbox. In beide gevallen kan u hier best vooraf op anticiperen bij het vertrek van de werknemer uit de onderneming:
Het is aangeraden om binnen uw onderneming vooraf afspraken te maken over wat gebeurt met het professionele e-mailaccount en andere persoonsgegevens bij het einde van de arbeidsrelatie. Deze afspraken kan u vastleggen in een specifieke IT-policy. Deze zal u als werkgever enerzijds toelaten om te voldoen aan uw transparantieplicht bij de verwerking van persoonsgegevens. Anderzijds laat een duidelijke IT-policy werknemers toe om vooraf te weten waar ze op het vlak van hun persoonsgegevens aan toe zijn bij het einde van de arbeidsrelatie. Werknemers die vooraf goed ingelicht zijn, hebben de kans om tijdens en na hun arbeidsrelatie de maatregelen te nemen die nodig zijn om hun privacy te beschermen. Dit heeft als gevolg dat werknemers zich achteraf in veel mindere mate zullen kunnen beroepen op hun “redelijke privacyverwachtingen” en er dus minder snel sprake is van een schending van het privéleven van de werknemer.
Om de werknemers behoorlijk te informeren moet de IT-policy minstens de volgende vermeldingen bevatten:
! Het is raadzaam om in uw IT-policy meteen ook afspraken te voorzien voor de omgang met het professionele e-mailaccount van werknemers die gedurende een langere periode afwezig zijn. In dat geval is een verwijdering van het e-mailaccount uiteraard niet nodig, maar is het wel aangewezen om afspraken te maken over een out-of-office-bericht en de vertrouwenspersoon die in geval van nood de mailbox kan consulteren !
Na het einde van de arbeidsrelatie blijven de algemene principes van de GDPR van toepassing. De gouden regel is dus dat u persoonsgegevens in het personeelsdossier van de ex-werknemer niet langer mag bijhouden dan nodig. Persoonsgegevens van ex-werknemers mogen enkel bijgehouden worden, wanneer daartoe een specifieke rechtsgrond bestaat. Bovendien vervalt bij het einde van de arbeidsovereenkomst de rechtsgrond om gegevens te verwerken in het kader van de uitvoering van de arbeidsovereenkomst. De werkgever zal dus op zoek moeten gaan naar een nieuwe rechtsgrond voor alle persoonsgegevens die hij bijhoudt van de werknemer.
In veel gevallen is die rechtsgrond voorhanden. Zo is het uiteraard toegelaten om de persoonsgegevens van een ex-werknemer bij te houden wanneer dit voorgeschreven wordt door een wettelijke verplichting. Onder meer de fiscale-en de pensioenregelgeving verplichten werkgevers om bepaalde gegevens van hun ex-werknemers te bewaren. Het bijhouden van die gegevens na de arbeidsovereenkomst is aldus perfect GDPR-conform.
Een andere rechtsgrond om persoonsgegevens van ex-werknemers bij te houden na de arbeidsrelatie, zijn de gerechtvaardigde belangen van de werkgever. Zo kan de werkgever een gerechtvaardigd belang hebben om de gegevens van de ex-werknemer bij te houden die nuttig kunnen zijn in het kader van een gerechtelijke procedure. In dat geval kan aan de hand van de wettelijke verjaringstermijn bepaald worden hoe lang het nodig is om bepaalde gegevens te bewaren na het einde van de arbeidsrelatie:
Wanneer er binnen de wettelijke verjaringstermijn geen procedure is ingeleid, moeten de gegevens die in dat verband bewaard werden, verwijderd worden tenzij ze kunnen bijgehouden worden op grond van een andere rechtsgrond.
De persoonsgegevens van de ex-werknemer waarvoor geen rechtsgrond bestaat om ze na het einde van de arbeidsrelatie te verwerken, moeten zo snel mogelijk gewist worden.
In elk geval hebben ex-werknemers het recht om inzage te vragen in hun persoonsgegevens die bijgehouden worden door hun ex-werkgever. Daarnaast kunnen ex-werknemers ook vragen om de wissing van hun persoonsgegevensgegevens als de ex-werkgever ze niet langer nodig heeft voor de doeleinden waarvoor zij verzameld zijn of verwerkt zijn. De werkgever kan deze verzoeken enkel weigeren wanneer daarvoor een gegronde reden is.
De rechtsgrond voor deze verwerkingen vervalt bij het einde van de arbeidsovereenkomst. De werkgever moet aldus bij het einde van de arbeidsrelatie op eigen initiatief zo snel mogelijk alle verwijzingen naar de ex-werknemer op de website en social media kanalen verwijderen. Het gaat onder meer over de naam van de ex-werknemer, functie, opleiding, foto’s (in het geval van groepsfoto’s volstaat het om ex-werknemers onherkenbaar te maken).
Ook op het vlak van de doorgifte van persoonsgegevens, blijven de regels van de GDPR na het einde van de arbeidsovereenkomst onverminderd gelden. Als werkgever moet u dus uiterst omzichtig te werk gaan bij de doorgifte van persoonsgegevens van ex-werknemers.
In dat kader stelt zich de vraag of u als ex-werkgever uw medewerking kan verlenen bij het referentieonderzoek van de (potentiële) nieuwe werkgever van een ex-werknemer. Dit vormt uiteraard geen probleem wanneer u daartoe de expliciete toestemming heeft van de ex-werknemer. Zonder toestemming van de ex-werknemer is dit minder evident. De ex-werkgever die in dat geval alsnog medewerking wil verlenen aan het referentieonderzoek, kan de toepassing van de GDPR proberen uitsluiten door de informatie strikt mondeling te houden.
Tot slot moet de werkgever er steeds op toezien dat ex-werknemers geen toegang meer kunnen krijgen tot de IT-systemen en databases van de onderneming. Ex-werknemers die na de arbeidsrelatie nog toegang hebben tot de persoonsgegevens die bijgehouden worden binnen de onderneming, kunnen aanleiding geven tot een gegevenslek, met alle extra GDPR-verplichtingen van dien.
Tetracademy is het driemaandelijkse juridische tijdschrift van het Brusselse advocatenkantoor Tetra Law. Dit artikel is hieruit overgenomen. Voor meer informatie of om elke nieuwe publicatie te ontvangen, aarzel niet om de Tetracademy te volgen door een e-mail te sturen naar tetracom@tetralaw.com.